「GIAC Certified Incident Handler GCIH」の記事一覧

インシデント対応計画（IRP）において、メディアや外部からの問い合わせに対応する「スポークスパーソン」を事前に決めておく主な理由は何か。

NTFSのUSNジャーナルにおいて、ファイルが削除された際に記録されるReasonフラグはどれか。

Burp Suiteなどのローカルプロキシを使用している際、HSTS（HTTP Strict Transport Security）が有効なサイトでブラウザが警告を出して接続できない原因は何か。

エンドポイントセキュリティ（EDR）がAPIフックに使用する「jmp」命令などを検知・回避するために、ntdll.dllのシステムコール番号を直接呼び出すテクニックはどれか。

「Race Condition（競合状態）」の脆弱性を悪用する「Limit Overrun」攻撃の典型例はどれか。

Azureにおいて、ユーザーのサインインログや監査ログを、分析のためにAzure Sentinel（SIEM）やStorage Accountに転送・保存する設定を何と呼ぶか。

難読化されたJavaScriptやVBScriptを解析する際、ブラウザのデバッガ機能やエミュレータ（Box-js等）を使用する主な利点は何か。

「封じ込め（Containment）」措置として、攻撃者のC2サーバーへの通信をDNSレベルで遮断する際、感染端末が名前解決を試みた結果として何を返す設定にするのが一般的か。

WAF（Web Application Firewall）において、既知の攻撃パターン（SQLiやXSSのシグネチャ）に基づいて通信を遮断する方式を何と呼ぶか。

AD CS（証明書サービス）に対する攻撃「ESC8」において、攻撃者がNTLM認証を強制させて証明書を発行させるために悪用するWebインターフェース機能はどれか。